Kiberlaikapstākļi 2026 | MAIJS
Kiberlaikapstākļu vērotājiem CERT.LV piedāvā ikmēneša pārskatu par aizvadītā mēneša spilgtākajiem notikumiem Latvijas kibertelpā TOP 5 kategorijās.
Pikšķerēšana viesnīcu rezervēšanas un darba sludinājumu aizsegā, bankas vārdā izplatīti e-pasti ar inficētu pielikumu, novecojušu tīmekļvietņu riski, robotizētu zāles pļāvēju ievainojamības: aktualitātes maijā.
Krāpšana
Maijā kibervidē bija vērojami mainīgi un brīžiem vētraini “laikapstākļi” - līdzās ierastajām krāpšanas shēmām parādījās arī jaunas variācijas. Krāpnieki pielāgoja savus scenārijus ikdienas situācijām, izmantojot pazīstamu uzņēmumu, mediju un iestāžu vārdus, lai radītu uzticamību un izvilinātu personas datus, maksājumu karšu informāciju vai piekļuvi internetbankai.
Pēc īsa pārtraukuma atkal aktivizējušies investīciju krāpnieki. Viņi reklamēja viltus ieguldījumu iespējas, izmantoja vietnes, kas atdarināja pazīstamus Latvijas medijus, kā arī piedāvāja viltus “palīdzību” jau zaudētās naudas atgūšanai.
Krāpnieki turpināja uzdoties arī par dažādu iestāžu un uzņēmumu pārstāvjiem. Īpaši aktīva bija ar “pasta” tēmu saistīta pikšķerēšana – iedzīvotāji saņēma īsziņas par it kā “iestrēgušu” sūtījumu šķirošanas centrā, aicinājumu steidzami atjaunot piegādes adresi. Vienas dienas rekords tika fiksēts 15. maijā, kad ar šo tematiku saistīts krāpniecisks domēna vārds DNS ugunsmūrī tika bloķēts 7 761 reizi.
Atkal izplatās krāpnieciski ziņojumi, kas saistīti ar CSDD tematiku – ziņas par it kā nesamaksātiem ceļu satiksmes sodiem un jauna variācija – un par telefona lietošanu pie stūres braukšanas laikā. Abos gadījumos saņēmēji tika aicināti atvērt krāpniecisku saiti.
Lai sevi pasargātu, svarīgi nepakļauties steidzamības spiedienam, jo tieši tas ir viens no krāpnieku galvenajiem paņēmieniem.
Viltus darba sludinājumu krusa: digitāla līguma parakstīšana var beigties ar kredītu uz jūsu vārda
Maijā tika konstatēti krāpnieciski darba piedāvājumi, kas portālā ss.lv tika reklamēti kā grāmatveža palīga vai asistenta vakances. Uzticama sludinājuma aizsegā slēpās finanšu krāpšanas shēma.
Krāpnieki uzdevās par darba devējiem un aicināja kandidātu attālināti “parakstīt līgumu”, autentificējoties ar Smart-ID. Patiesībā tā bija kredītlīguma apstiprināšana uz upura vārda bez viņa ziņas.
Tāpēc pirms jebkuras darbības ar autentifikācijas rīkiem (Smart-ID, eParaksts) vienmēr rūpīgi pārbaudiet, ko tieši apstiprināt. Ja darbība šķiet negaidīta vai neskaidra, tā nekavējoties jānoraida.
Viltus trauksmes pērkons: no jūsu konta noņemta liela naudas summa!
Maijā tika novērota pārliecinoša telefonkrāpnieku shēma Swedbank vārdā. Krāpnieki, kas uzdevās par Swedbank drošības dienesta pārstāvjiem, apgalvoja, ka no konta tiek veikti maksājumi uz ārvalstīm, un vienlaikus sūtīja īsziņu, kas izskatījās pēc bankas paziņojuma par noņemtu naudas summu, tādējādi vēl vairāk pastiprinot uzticamības iespaidu un radot steidzamības sajūtu.
Zvanītājs runāja latviešu valodā un piedāvāja šķietamus “risinājumus”, tostarp steidzami ierasties bankas filiālē un atcelt darījumus vai atvērt saiti, kurā pats īsziņas saņēmējs varot “atcelt” maksājumu. Mērķis bija radīt spiedienu un panākt tūlītēju rīcību.
Saņemot šādu zvanu, neveiciet nekādas darbības, neatveriet atsūtītās saites un neizpaudiet autentifikācijas kodus vai kartes datus. Sazinieties ar banku, izmantojot tikai oficiālos saziņas kanālus.
Pikšķerēšanas negaiss booking.com aizsegā
Tuvojoties atvaļinājumu sezonai, maijā pastiprinājās arī krāpniecība, kas saistīta ar ceļojumiem. Kamēr daudzi plāno brīvdienas un rezervē naktsmītnes, krāpnieki booking.com vārda aizsegā WhatsApp ziņojumos mēģina izvilināt maksājumu karšu datus.
Krāpnieki sazinājās ar potenciālajiem upuriem, aicinot apstiprināt rezervācijas detaļas, izmantojot pievienotu saiti. Saite veda uz viltus vietni, kas atdarināja booking.com, un prasīja ievadīt maksājumu kartes datus. Mērķis bija iegūt maksājumu kartes datus un tos izmantot nesankcionētiem darījumiem.
Lai panāktu ātru rīcību, krāpnieki radīja steidzamības sajūtu, draudot ar rezervācijas atcelšanu 24 stundu laikā. Tā ir tipiska pikšķerēšanas pazīme – lietotājs tiek mudināts rīkoties ātri, nepārbaudot saites īstumu.
Lai atvaļinājuma plāni nebeigtos ar finansiāliem zaudējumiem, neatveriet saites no negaidītiem WhatsApp ziņojumiem un neievadiet maksājumu kartes datus lapās, kas atvērtas no šādām saitēm. Rezervācijas statusu pārbaudiet tikai oficiālajā booking.com lietotnē vai vietnē, domēnu pārlūkā ievadot manuāli.
Mainīgi laikapstākļi klientu kontos
Uzņēmuma Tet vārdā tika izplatītas masveida īsziņas ar saitēm uz viltus vietnēm, lai izvilinātu personas un maksājumu kartes datus.
Vienā scenārijā tika solīta 250 eiro atmaksa, kas it kā saistīta ar Tet klienta kontu. Lai to saņemtu, bija jāapstiprina savi dati klientu portālā. Otrā – krāpnieki apgalvoja, ka sistēmas kļūdas dēļ nav apstrādāts viens rēķins, un ir nepieciešama steidzama apmaksa, lai pakalpojumu turpinātu izmantot bez ierobežojumiem.
Krāpnieki izmantoja gan “saulainu” solījumu par naudas atmaksu, gan “negaisa” draudus par pakalpojuma ierobežošanu. Saņemot šādas īsziņas, neatveriet pievienotās saites un neievadiet datus. Rēķinus un klienta konta informāciju pārbaudiet tikai oficiālajā Tet vietnē vai lietotnē, adresi ievadot pārlūkā manuāli.
Ļaunatūra un ievainojamības
Oranžais brīdinājums: e-pasta pielikumā vīruss
Maijā Swedbank vārdā tika izplatīti viltus e-pasti ar ļaunatūru saturošu pielikumu. Tā atvēršana aktivizēja informācijas zagšanu, kuras mērķis bija iegūt lietotāja datus, piemēram, paroles, piekļuves informāciju vai citu sensitīvu informāciju no upura iekārtas. Apdraudētas bija Windows ierīces.
Lai sevi pasargātu, vienmēr pārbaudiet sūtītāja un “Reply-To” adreses un neatveriet pielikumus no negaidītiem e-pastiem, pat ja tie šķiet sūtīti bankas vārdā. Maksājumu informāciju pārbaudiet tikai internetbankā vai, sazinoties ar banku, izmantojot oficiālos saziņas kanālus.
Ja pielikums jau ir atvērts, atvienojiet ierīci no interneta, pārbaudiet to ar atjauninātu pretvīrusu programmu un nekavējoties nomainiet paroles no citas, drošas ierīces.
Novecojušu vietņu lietusgāzes un ļaunatūras straumes
Maijā tika konstatēti vairāki .lv tīmekļvietņu kompromitēšanas gadījumi, kuru pamatā bija kopīga iezīme – novecojuša vai nepietiekami uzturēta satura vadības sistēmu vide, galvenokārt WordPress, Joomla un citas CMS platformas, kā arī tajās izmantoti neatjaunināti spraudņi un tēmas.
Izmantojot ievainojamības, uzbrucēji ieguva neatļautu piekļuvi vietnēm un mainīja to saturu. Kompromitētās vietnes kalpoja arī kā starpposms turpmākai lietotāju novirzīšanai uz citām kaitīgām vietnēm.
Daļā gadījumu apmeklētāji tika novirzīti uz azartspēļu vietnēm, citos — uz ClickFix shēmām, kas ir īpaši bīstamas, jo rada iespaidu, ka problēmas novēršanai jāveic šķietami leģitīmas darbības, piemēram, jāizpilda norādījumi vai jālejupielādē fails.
Rezultātā lietotāja ierīcē var nonākt informācijas zagšanas jeb “infostealer” tipa ļaunatūra, kas paredzēta paroļu, pārlūkprogrammu sesiju autentifikācijas datu un citas sensitīvas informācijas izgūšanai.
Pakalpojuma pieejamība
Turpinoties Krievijas agresīvo politiku atbalstošo haktīvistu aktivitātēm, maijā viļņveidīgi DDoS (pakalpojumu atteices) uzbrukumi tika vērsti pret vairākiem interneta pakalpojumu sniedzēju un iestāžu resursiem. Ieviestās daudzpakāpju aizsardzības sistēmas un procesi nodrošināja, ka DDoS uzbrukumi tika veiksmīgi atvairīti un būtisko resursu darbība netika ietekmēta, vai arī to ietekme bija īslaicīga un nenozīmīga.
Lai arī uzbrukumi notiek viļņveidīgi, jārēķinās, ka politiski motivēta uzbrucēju interese par Latvijas resursiem saglabāsies. Attiecīgi sistēmu uzturētājiem proaktīvi jārūpējas par resursu atjaunināšanu, jāstiprina kiberdrošības pārvaldība un jāseko līdzi kiberdrošības ieteikumiem.
Lai efektīvi plānotu pakalpojumu un darbības nepārtrauktībai kritisko datu pieejamību gadījumos, kad pamata infrastruktūra varētu nebūt pieejama, organizācijām noderēs ”ABC ceļvedis” ietvertie padomi.
Ielaušanās un datu noplūde
Maldinošu ziņu migla
Maijā tika reģistrēts kiberincidents tīmekļvietnē rezeknessatiksme.lv. Izmantojot vietnes konfigurācijas nepilnības, uzbrucējiem izdevās nopublicēt melīgu ziņu par maršrutiem uz austrumiem, tostarp Baltkrieviju, atsaucoties uz it kā pieņemtiem domes lēmumiem. Vienlaikus reklāma “par jaunajiem maršrutiem” parādījās arī Facebook platformā.
Ņemot vērā pašreizējo ģeopolitisko situāciju un sabiedriskā transporta uzņēmuma publisko funkciju, šāds incidents rada reputācijas, sabiedriskās kārtības un dezinformācijas riskus, kā arī var mazināt uzticēšanos oficiālajiem informācijas kanāliem.
Incidents atgādina par nepieciešamību regulāri uzraudzīt publiskās tīmekļvietnes - tajās izmantotās tehnoloģijas un to versijas, kā arī kontrolēt piekļuves tiesības un ātri reaģēt uz nesankcionētu saturu.
Iedzīvotājiem savukārt ieteicams pārbaudīt aizdomīgu informāciju arī citos uzticamos avotos.
Datu lietusgāze Škoda e-veikalā
Maijā automobiļu ražotājs Škoda informēja par uzņēmuma tiešsaistes veikalā konstatētu drošības incidentu, kura laikā kiberuzbrucēji, iespējams, varēja piekļūt daļai klientu informācijas, vēsta portāls securityweek.com.
Uzņēmums norādīja, ka incidents saistīts ar tiešsaistes veikala programmatūras ievainojamību, kas jau novērsta. Sākotnējā izmeklēšanā secināts, ka, iespējams, tika skarti klientu vārdi, adreses, e-pasta adreses, tālruņu numuri un pasūtījumu dati. Maksājumu dati netika skarti, jo Škoda tos neapstrādā un neuzglabā.
Pēc incidenta atklāšanas Škoda atslēdza tiešsaistes veikalu, novērsa ievainojamību un sāka izmeklēšanu sadarbībā ar ekspertiem un uzraugošajām iestādēm. Publiski nav zināms, cik daudz lietotāju varētu būt skarti. Tāpat publiski nav pieejama informācija, vai incidentā būtu skarti lietotāji no Latvijas.
Lietotāji aicināti būt īpaši vērīgiem pret iespējamiem pikšķerēšanas mēģinājumiem un nomainīt savas paroles, it īpaši, ja tās tiek lietotas vairākos kontos.
Pikšķerēšanas lietavas nerimstas
CERT.LV turpina saņemt lietotāju ziņojumus par mēģinājumiem pārņemt Signal un WhatsApp lietotņu kontus. Vienlaikus būtiski uzsvērt - šie uzbrukumi nav saistīti ar jaunu lietotnes ievainojamību, bet gan ar lietotāju neuzmanības izmantošanu un nepietiekamām zināšanām par lietotņu funkcionalitāti.
Uzbrucēji cenšas izvilināt datus vai apstiprinājumus, kas ļauj pārņemt kontu. Neapdomīga šādas informācijas nodošana faktiski nozīmē konta piekļuves atdošanu uzbrucējam.
Kā pasargāt savu Signal un WhatsApp kontu, praktiski ieteikumi pieejami CERT.LV tīmekļvietnē.
Lietu internets
Robotizētie zāles pļāvēji ievainojamību negaisā
Atklāts, ka tūkstošiem Yarbo robotu visā pasaulē bija pieejami ar vienu un to pašu noklusējuma paroli, ļaujot attālināti piekļūt ierīcēm, to kamerām un lietotāju datiem, vēsta portāls cysecurity.news. Testējot ierīču pieteikšanās sistēmas, konstatēta slēpta (aizmugurdurvju) piekļuve ar paroli “admin”. Daudzas ierīces bija pieslēgtas internetam un izmantoja kameras, GPS un bezvadu sakarus.
Izmeklēšanā noskaidrots, ka lielai daāli bija identiski rūpnīcas piekļuves dati, bet testos atklājās arī lietotāju e-pasti, ierīču atrašanās vietas un tīkla informācija. Reāllaika kartē bija redzami vairāk nekā 11 000 aktīvu robotizēto pļāvēju vismaz 30 valstīs. Latvijas lietotāju skaits publiskajos avotos nav atklāts, taču pieejamie dati apliecina Yarbo robotu pieejamību arī Latvijas tirgū.
Ievainojamības ļāva ne tikai iegūt datus, bet arī potenciāli pārņemt ierīces vadību, ieslēgt kameras vai izmantot piekļuvi tālākām darbībām tīklā. Testa laikā kāda persona, kura fiziski atradās Vācijā, spēja vadīt Yarbo pie kādas mājas Ņujorkā, turklāt bez jebkāda brīdinājuma tās saimniekiem uz vietas.
Ražotājs pēc tam nomainīja piekļuves mehānismu uz unikālām parolēm un ierobežoja attālināto piekļuvi, taču eksperti brīdina, ka bažas par iespējamiem “aizmugurdurvju” mehānismiem joprojām pastāv. Viedierīču ievainojamības var radīt arī fizisku risku, tāpēc mājas tīkla un IOT ierīču drošība kļūst arvien svarīgāka.
